Abdelkader Rueda, Yamila

Elaboracin de informe

Aqui se veran algunas directrices generales que cada investigador forense deberia seguir a la hora de
generar un informe, independientemente si se trata de un caso criminal, civil o administrativo.

Durante una investigacion de un incidente, usted comunmente investigara la computadora o red en busca
de pruebas que ayuden a su caso.

Hay dos tipos de informes informaticos forenses (computer forensics report):

1. Aquellos que unicamente documentan hechos.

2. Los que incluyen hechos asi como opiniones.

La escritura del informe, como tantas otras cosas de la vida, requiere de un proceso de documentacion
que asegure un estandar. Deben ser exactos, escritos en una manera oportuna y comprensible a su
audiencia.

Los informes deben alcanzar los objetivos siguientes:

Exactitud al escribir los detalles de un incidente

Redactados de forma comprensible para la Alta Gerencia
Prolijamente elaborados, para ser aprobados legalmente.
Lenguaje preciso y conciso, que no de lugar a una mala interpretacion.
Referencias faciles de encontrar.
Debe contener toda la informacion requerida para justificar susconclusiones.DOCUMENTE
INMEDIATAMENTE Y CLARAMENTE TODOS LOS PASOSEsto requiere disciplina y organizacion, pero
es esencial la redaccion comprensible para usted y para otros, no use taquigrafia o escritura rapida. Las
anotaciones vagas, garabatos incompletos, o la documentacion confusa, tarde o temprano conduciran a
esfuerzos redundantes que conduciran a una mala interpretacion de lo documentado.

Escribiendo algo claramente y con concision, usted descubre que pruebas hacen ahorrar tiempo y
promueven la exactitud. Esto tambien asegura que los detalles de la investigacion pueden ser
comunicados mas claramente a otros en cualquier momento.

CONOZCA LOS OBJETIVOS DE SU ANALISIS

Tenga en claro sus objetivos antes de comenzar su analisis. Esto promueve un informe enfocado que es lo
que su cliente espera.

ORGANICE SU INFORME

Organice su informe para comenzar en el nivel mas alto y desde ahi llegar a los mas bajos. Utilizando
esta organizacion, los directivos de alto nivel tienen que leer solo la primera pagina o leer sus
conclusiones, y con esto se evitaria que ellos perdieran tiempo leyendo los detalles de nivel mas bajo, que
tal vez ni comprendan con claridad.

Incluya un indice para sus informes mas extensos. El indice hace cumplir un acercamiento logico a la
documentacion de sus conclusiones, y esto ayuda al lector a entender lo que su informe comunica.

USO DE PLANTILLAS

Siga una plantilla de informe estandarizada. Esto hace a su informe escalable, establece un estandar
repetible y ahorra tiempo. Aqui se vera una plantilla estandar de Informe Forense. En la practica, su
informe puede ser organizado de muchas maneras diferentes, pero esto tiene que tener sentido.

Aula virtual Servidet 1/7

 Abdelkader Rueda, Yamila

USE IDENTIFICADORES CONSTANTES

En un informe, al hacer referencia a algo, deben mantener una coherencia en el modo de referenciar las
cosas, por ejemplo, si se referencia a la computadora victima y se la nombra como computador,
ordenador personal, sistema victima, puede crear una confusion en el lector.

El desarrollo de un modo constante, firme de referirse a cada articulo en todas partes de su informe, es
critico para eliminar tal ambiguedad o confusion.

ACCESORIOS DE EMPLEO Y APENDICES

Usted no querra interrumpir su informe forense con 15 paginas de codigo original exactamente en medio
de sus conclusiones, es por esto que cualquier informacion, archivo y fragmentos que usted cite en su
informe, deben ser incluidos como apendices o accesorios. Entonces, usted puede incluir una breve
referencia al apendice en el informe. Por ejemplo, usted podria decir: un listado de la informacion
obtenida con el comando WHOIS, es incluido como el Apendice A.

Usted tambien deberia proporcionar una copia electronica de cada archivo o fragmentos que son citados
en su informe.
Cuando los archivos son demasiado extensos como para ser impresos, como puede ser una copia de una
base de datos, se entregan copias electronicas y se las referencia como eAppendix (apendice
Electronico). Simplemente grabamos un CD/DVD que contenga todos los archivos que citamos en el
informe, y lo anadimos como el ultimo accesorio en el informe.

PARTES DE UN INFORME

Cada informe forense deberia incluir:

Resumen Ejecutivo
Objetivos
Evidencias Encontradas
Conclusiones relevantes
Detalles de Apoyo
Investigaciones AdicionalesSubdivisiones de Informes Adicionales: Metodologia de Ataque
Aplicaciones de Usuarios Actividad de la red

lo

Por lotanto esta seccion tiene que incluir:

Quien autorizo la investigacion forense.

Porque era necesario realizar una investigacion forense.

Conclusiones significativas (un breve detalle).

La firma del investigador forense.

Recomendaciones y/o conclusiones

RESUMEN EJECUTIVO

Aula virtual Servidet 2/7

 Abdelkader Rueda, Yamila

Esta seccion proporciona la informacion de fondo de las circunstancias que causaron la necesidad de una
investigacion.
Esta es la seccion que podria leer la Direccion de una empresa.

Es importante colocar el nombre completo de todas las personas que intervienen en el caso, su puesto y
las fechas de inicio de la investigacion.

1. SUBDIVISIONES DE INFORMES ADICIONALESHay varias subdivisiones adicionales que suelen

incluirse en los informes forenses. Se mostraran algunas, pero esto dependera de las necesidades de la
investigacion y del cliente.1. METODOLOGIA DEL ATACANTE:Esta seccion es para ayudar al lector a
entender los ataques comunes realizados o el ataque exacto investigado.
Esta seccion es muy util si usted investiga un caso de intrusion de computadoras o redes.Usted puede
examinar como el ataque fue ejecutado y a que tipo de remanentes en los logs se debe apuntar.2.
APLICACIONES DE USUARIOS:En muchos casos, las aplicaciones presentes en el sistema investigado
son relevantes. En esta seccion se detallan las aplicaciones que fueron instaladas en los medios
analizados, detallando en donde fueron encontradas y que funcion realizan.3. ACTIVIDAD DE
INTERNET O HISTORIAL DE NAVEGACIONEsta seccion es un desglose del historial de navegacion de
los usuarios que utilizan los medios analizados.
Esta seccion se incluye, generalmente, en los casos administrativos en los que el trabajador navega
por la web toda la jornada laboral.
2. historial de navegacion tambien puede sugerir el perfil del empleado, si ha realizado descargas de
herramientas maliciosas, o ingreso a sitios pornograficos, etc.4. RECOMENDACIONESEn esta seccion
se proporcionan algunas recomendaciones para adoptar una postura apropiada para evitar un
incidente de caracteristicas similares. Expresamente, exponemos las contramedidas en base a hosts,
redes y legales, que el cliente puede tomar para eliminar o reducir el riesgo que investigamos

Aula virtual Servidet 3/7

 Abdelkader Rueda, Yamila

Presentacin de evidencia

El ultimo paso que debemos realizar del proceso de investigacion es la presentacion de la informacion
recopilada como evidencia, esta consiste en la elaboracion del informe con los resultados obtenidos en
cada una de las etapas de la investigacion. El informe que presentemos debe ser totalmente imparcial sin
mostrar una sentencia de conducta del acusado, esto puede llevar a que su trabajo sea descalificado.

El investigador es el responsable de todo lo senalado y expuesto en el informe de resultados del analisis

de la exanimacion de la evidencia digital.

La eficacia para probar la investigacion realizada se basa fundamentalmente en el aseguramiento de la

prueba desde el momento de su secuestro en este caso desde el dia que ponemos las manos sobre la
maquina a investigar, de aqui en mas todas las manipulaciones que se den a esta maquina seran en
copias autentificadas para asi no correr riesgos de alteracion de la informacion.

Expuesta esta situacion debemos tener muy en cuenta como debemos presentar un informe sobre la
investigacion de tal manera que sea, objetiva, precisa y que contenga suficientes argumentos que
determinen la fiabilidad de la investigacion.
A continuacion exponemos algunas consideraciones esenciales para la presentacion del informe:

1. Debe ser Admisible, es decir de tener 3 aspectos importantes que son:

- Autenticidad: Evidencia relacionada con el caso y no alterada - Confiabilidad: Forma de registro

comprobable
- Eficacia: Correlacion de eventos

2. Criterioderazonabilidad
El poder dar un criterio de la investigacion tan razonable como entendible.

3. Cualeselfindelainvestigacion
El fin de la investigacion es brindar al afectado las pruebas suficientes para que pueda decidir con
certeza sobre e1 asunto del proceso.

Al igual que un documento normal, la presentacion de la evidencia digital debe cumplir las siguientes
condiciones:

- Debe estar compuesto por un texto.

Con un contenido relevante al ambito juridico. - Un autor:

Este debe estar claramente identificado

- Debe ser comprensible: El texto debe contener un lenguaje apropiado y comprensible.
- Detalles de resultados: Esta seccion debe describir en mayor detalle los resultados de las exanimaciones
y puede incluir:

- Ficheros especificos relacionados con la peticion.

- Otros ficheros, incluyendo los ficheros suprimidos, que utilizan losresultados.
- Busquedas de cadena, busquedas de palabra clave, y busquedas decadena de texto.
- Evidencia relacionada con internet, tal como analisis de trafico delWeb site, ficheros de la memoria
inmediata, E-mail, y actividad delgrupo de las noticias.
- Analisis de imagenes, graficos.
- Materiales que utilizan: Enumere los materiales y procesos que utilizo, que se incluyen con el informe,
de las copias digitales de la evidencia, y del encadenamiento de la documentacion de la custodia.

Aula virtual Servidet 4/7

 Abdelkader Rueda, Yamila

- Glosario: Se puede incluir un glosario para asistir al programa de lectura en entender cualquier
termino tecnologico usado. Utilice una fuente generalmente aceptada para la definicion de los terminos
e incluya las referencias apropiadas.

Ejemplos

Aula virtual Servidet 5/7

 Abdelkader Rueda, Yamila

Aula virtual Servidet 6/7

 Abdelkader Rueda, Yamila

Aula virtual Servidet 7/7